好的,我们继续5G世界的深度探索之旅。在掌握了网络如何为不同业务提供差异化服务(QoS)之后,我们将揭开5G通信背后那道最坚固、也最容易被忽视的屏障——安全(Security)。
深度解析 3GPP TS 38.300:13 Security (5G通信的隐形守护神)
本文技术原理深度参考了3GPP TS 38.300 V18.5.0 (2025-03) Release 18规范中,关于“Chapter 13 Security”的核心章节,旨在为读者系统性地揭示5G网络端到端的安全架构、密钥派生与管理体系,以及在移动性场景下的安全上下文传递机制,理解5G如何为我们的每一次通信都撑起一把“隐形保护伞”。
前言:数字城堡的“密钥与卫兵”
我们的主角小明,正在校园咖啡馆里,手机连接着公共Wi-Fi处理一封普通邮件。随后,他需要处理一份包含个人敏感信息的紧急文件,他果断地关闭Wi-Fi,切换到了5G网络。他下意识地认为,5G比公共Wi-Fi更安全。但这份“安全感”究竟从何而来?
5G网络从设计之初,就将安全视为与性能同等重要的生命线。它构建了一座固若金汤的“数字城堡”,我们的每一次通信,都像是在这座城堡的严密保护下进行的秘密会谈。这座城堡拥有森严的“门禁系统”(认证机制)、复杂的“密钥体系”(密钥分层派生)以及忠诚的“卫兵”(加密与完整性保护)。
导师老王对小玲说:“安全是所有通信的基石。用户看不见它,但一旦缺失,整个系统就会瞬间崩塌。38.300的第13章,虽然内容高度浓缩,但它描绘了整个5G接入网安全架构的蓝图。它告诉我们,‘卫兵’驻守在哪里,‘密钥’又是如何被安全地生成和传递的。”
今天,我们将化身为这座“数字城堡”的首席安全官,深入其核心,揭示5G如何通过一套分层、动态的安全机制,守护小明的每一次数据交互。
1. 5G安全的“宪法”:核心原则 (13.1 Overview and Principles)
规范13.1节开篇,就立下了5G接入网安全的几条“根本大法”。
The following principles apply to NR connected to 5GC security, see TS 33.501:
-
用户数据与信令数据的双重保护:
- For user data (DRBs), ciphering provides user data confidentiality and integrity protection provides user data integrity;
- For RRC signalling (SRBs), ciphering provides signalling data confidentiality and integrity protection signalling data integrity;
无论是用户数据(DRB)还是RRC信令(SRB),都享受两层保护:
-
机密性(Confidentiality):通过**加密(Ciphering)**实现,确保数据在空中不被窃听。就像是用密码箱传递文件。
-
完整性(Integrity):通过完整性保护实现,确保数据在传输中不被篡改。就像是给密码箱贴上一个独一无二的“火漆封印”,任何改动都会被察觉。
-
AS与NAS安全的严格分离:
- The gNB (AS) keys are cryptographically separated from the 5GC (NAS) keys;
接入层(AS,UE与gNB之间)使用的密钥,与非接入层(NAS,UE与核心网AMF之间)使用的密钥,是密码学上完全分离的。gNB(城堡的“门卫”)永远不会知道AMF(城堡的“国王”)与UE之间通信的NAS密钥。这遵循了“最小权限原则”,即gNB作为接入网设备,被认为是不如核心网安全的,因此不能让它接触到最高级别的安全上下文。
-
密钥使用的唯一性:
- A sequence number (COUNT) is used as input to the ciphering and integrity protection and a given sequence number must only be used once for a given key…
每一次加密/完整性保护运算,都必须使用一个永不重复的序列号(COUNT)作为输入。这意味着,即使是用同一个密钥加密两个不同的数据包,得到的密文也是完全不同的。这可以有效地防止重放攻击(Replay Attack)。
1.1 5G的“密钥之树”:分层密钥派生
5G安全的基石,是一套精巧的、自上而下的“密钥派生树”。所有的密钥,都源于一个安全的“根”,并逐级派生,各司其职。规范中的 Figure 13.1-1: 5G Key Derivation 完美地展示了这棵“树”的结构。
场景代入: 小明的手机开机,发起注册流程。
-
密钥之根 (K):一切的源头,是存储在UE的SIM卡(UICC/USIM)和核心网鉴权中心(AUSF)中的一个永久共享密钥 K。这是UE的终极秘密。
-
认证与锚点密钥生成 (AKA → K_SEAF):UE和网络通过一次AKA(Authentication and Key Agreement)“秘密握手”流程,相互认证身份。认证成功后,双方会共同派生出一个锚点密钥 K_SEAF。K_SEAF是本次注册会话期间,安全上下文的“根”。
-
核心网密钥 (K_AMF):K_SEAF被送到AMF后,AMF会从中派生出K_AMF。K_AMF是UE在当前AMF服务下的“主密钥”,用于派生所有NAS层和AS层的密钥。
-
门卫的临时钥匙 (K_gNB):当UE需要建立RRC连接时,AMF会从K_AMF派生出一个接入网密钥 K_gNB,并连同其他上下文一起下发给gNB。K_gNB是gNB与UE之间所有接入层安全的“钥匙串”。注意:AMF给gNB的不是K_AMF,而是K_gNB! 这再次体现了AS与NAS的安全隔离。
-
具体用途的钥匙 (K_RRC, K_UP):gNB拿到K_gNB后,会进一步派生出用于具体任务的“小钥匙”:
-
KRRCint/KRRCenc:分别用于RRC信令的完整性保护和加密。 -
KUPint/KUPenc:分别用于用户数据的完整性保护和加密。
-
这套分层派生机制,确保了不同层级、不同用途的密钥相互隔离,即使某一把“小钥匙”泄露,也不会危及到整棵“密钥树”的安全。
1.2 移动中的“密钥交接”:前向/后向安全
当小明从gNB-A切换到gNB-B时,如何安全地为他建立新的“门禁”?5G通过密钥更新和链式推导机制,来保证移动过程中的前向安全(Forward Security)和后向安全(Backward Security)。
Whenever an initial AS security context needs to be established between UE and gNB, AMF and the UE derive a KgNB and a Next Hop parameter (NH).
-
NH(Next Hop):在生成K_gNB的同时,AMF和UE还会共同计算出一个“下一跳”参数NH。NH本身也是一个密钥材料,它就像是为下一次切换提前准备的“密钥种子”。
-
NCC(NH Chaining Counter):每次使用NH生成新的K_gNB,一个计数器NCC就会加1。这个过程被称为垂直密钥派生(Vertical Key Derivation)。
-
水平密钥派生(Horizontal Key Derivation):在某些场景下(如Xn切换),新的K_gNB也可以不从NH,而是直接从旧的K_gNB派生而来。此时NCC不变。
这个机制保证了:
-
后向安全:新的gNB(gNB-B)拿到的新K_gNB,无法反推出旧的gNB(gNB-A)使用过的旧K_gNB。
-
前向安全:旧的gNB(gNB-A)即使保留了所有历史信息,也无法预测出UE在未来切换到gNB-C时将要使用的K_gNB(因为它没有最新的NH)。
2. “安全岗哨”的部署:安全终结点 (13.2)
知道了有哪些“锁”和“钥匙”,我们还需要知道这些“安全岗哨”具体部署在哪里。Table 13.2-1 Security Termination Points 给出了清晰的答案。
| | Ciphering (加密) | Integrity Protection (完整性保护) |
| :--- | :---: | :---: |
| NAS Signalling | AMF | AMF |
| RRC Signalling | gNB | gNB |
| User Plane Data | gNB | gNB |
这张表一目了然:
-
NAS安全:终结点在UE和AMF。这是核心网级别的端到端安全。
-
AS安全:终结点在UE和gNB。无论是RRC信令还是用户数据,它们在空中接口这一段路程的安全,都由gNB来负责。
值得注意的是,用户数据的完整性保护是可选的(由网络配置),而RRC信令的完整性保护是强制的。
3. 安全与移动的共舞:状态转换与移动性 (13.3)
安全机制必须与UE的状态转换和移动性流程紧密结合。
As a general principle, on RRC_IDLE to RRC_CONNECTED transitions, RRC protection keys and UP protection keys are generated…
On RRC_CONNECTED to RRC_IDLE transitions, the gNBs deletes the keys it stores for that UE…
-
从IDLE到CONNECTED:UE发起初始接入,gNB从AMF获取UE上下文,其中就包含了用于派生一套全新AS密钥的
KgNB或NH。 -
从CONNECTED到IDLE/INACTIVE:当gNB释放UE连接时,它会立即删除为该UE存储的所有AS密钥(
KgNB,KRRC,KUP等)。这是重要的安全措施,确保了RAN侧不保留非活跃用户的任何敏感安全信息。UE的“安全档案”安全地回到了核心网AMF。 -
切换(Mobility):在切换过程中,新的AS密钥(
KgNB*)会在源gNB和目标gNB协商的过程中,通过垂直或水平派生生成,并安全地传递给UE。UE在接入目标小区后,立即启用新的密钥,实现了安全上下文的无缝迁移。
总结:无处不在的“隐形守护”
通过对第13章的深入学习,我们揭开了5G网络那套复杂而又优雅的安全架构。它不再是单一的防护措施,而是一套纵深防御体系:
-
分层防御:通过NAS安全和AS安全的分离,构建了从核心网到接入网的两层安全防护,并遵循了严格的信任模型。
-
根源可信的密钥体系:所有密钥都源于USIM卡中的根密钥,并通过密码学上安全的单向派生链逐级生成,保证了密钥的来源可靠和分发安全。
-
动态与前瞻性的移动安全:通过垂直/水平密钥派生和NH链,5G在保证切换效率的同时,实现了前向/后向安全,杜绝了“跨站追溯”的安全隐患。
-
全面的保护:不仅对用户数据,也对控制信令提供了同等级别的机密性和完整性双重保护,确保了通信内容和网络控制的安全性。
这套“隐形守护神”体系,是5G能够承载从个人隐私通信到国家关键基础设施控制等各种敏感业务的信心所在。它将安全深深地根植于网络的每一个环节、每一次交互之中,为万物互联的数字世界,提供了坚不可摧的信任基石。
FAQ
Q1:NAS安全和AS安全有什么本质区别?为什么需要两层安全?
A1:本质区别在于保护的链路和信任的终点。NAS安全保护的是UE与核心网AMF之间的信令链路,其信任终点是核心网,与具体的接入技术(5G NR, LTE, or non-3GPP)无关。AS安全保护的是UE与基站gNB之间的无线空口链路,其信任终点是gNB。设立两层安全是基于“分层信任模型”:核心网(AMF)是最高信任等级,而接入网(gNB)由于部署在物理上更开放的环境,被认为是“次级信任”的。因此,最高级别的安全上下文(如K_AMF)绝不能暴露给gNB,gNB只被授予完成其空口加密/保护任务所需的、由K_AMF派生出的临时密钥K_gNB。
Q2:什么是前向安全(Forward Security)和后向安全(Backward Security)?
A2:这是移动性场景下的两个重要安全概念。前向安全指的是,一个已经泄露了某个gNB密钥的攻击者,无法利用这个密钥来推算出UE未来将要使用的密钥。5G通过NH(Next Hop)机制实现这一点,因为NH是由AMF和UE计算的,旧的gNB无法获知。后向安全指的是,一个攻击者即使获取了UE当前正在使用的gNB密钥,也无法反推出UE过去曾经使用过的密钥。5G的密钥派生是单向的,保证了这一点。这两个特性确保了UE在网络中移动时,即使某一个时间点或某一个位置的安全被攻破,其影响也会被限制在局部,不会扩散到过去和未来。
Q3:为什么用户数据的完整性保护是可选的?
A3:这是在安全开销和业务性能之间的权衡。完整性保护需要在每个数据包上额外计算和附加一个MAC-I(消息认证码,通常4个字节),并在接收端进行校验。这会带来一定的处理开销和信令开销。对于绝大多数业务(如网页浏览、文件下载),这个开销是值得的,可以防止数据被恶意篡tuning。但对于某些特定的业务,如未经压缩的实时视频流,其本身对丢包和少量比特错误不敏感,但对吞吐率和时延要求极高。在这种场景下,网络可以配置关闭完整性保护,以节省那几个字节的开销,换取更高的有效载荷速率。然而,机密性保护(加密)通常是强烈建议开启的。
Q4:gNB是一个可信的网络实体吗?
A4:在3GPP的安全模型中,gNB被认为是“受信任的,但不如核心网受信任”。它被信任可以正确地处理AS层的安全功能,如加密/完整性保护。但它不被信任可以接触到NAS层的安全上下文或核心网的根密钥。这就是为什么K_AMF永远不会被发送到gNB,gNB只能得到由K_AMF派生出的K_gNB。这种设计可以防止因为单个gNB被物理攻破,而导致整个核心网的安全体系受到威胁。
Q5:5G安全相比4G有哪些主要增强?
A5:5G安全相比4G有多个显著增强:1)用户永久标识符的加密:在4G中,用户的永久ID(IMSI)在某些流程中是明文传输的。在5G中,永久ID(SUPI)总是被加密(使用SUCI)在空中传输,极大地增强了用户隐私。2)更强的完整性保护:5G将完整性保护的范围扩大到了用户面数据,而在4G中,用户面数据只有加密,没有完整性保护。3)统一的认证框架:5G设计了统一的认证架构(5G-AKA),可以同时适用于3GPP接入(如NR)和非3GPP接入(如Wi-Fi)。4)增强的漫游安全:通过SEPP(Security Edge Protection Proxy)等核心网网元,为运营商之间的漫游信令提供了更强的端到端安全保护。